Mac #Outlook 2011 an #Exchange 2010 #EWS via #Sophos #UTM #LifeAfterTMG

Es gucken sich alle um. Und das Leben ist nicht einfach, nach TMG. Viele kündigen an, ein vollständiges TMG Replacement zu sein und bewerben das auch aktiv so. Vollmundig hat sich dort auch Sophos mit der 9.1 im April letzten Jahres eingereiht und ich habe dem Werbeversprechen vertraut. Inzwischen sind einige meiner Kunden sehr zufrieden.

<Update>28.02.2014: Ich habe einen Hinweis zur Outlook Clientversion hinzugefügt</Update>

Selbst Frank Carius himself ist mit auf den Zug aufgesprungen und freute sich schon über die ersten Betas: Link. In einigen Punkten bin ich noch – gerade hinsichtlich Microsoft Exchange Veröffentlichung unzufrieden. Es gibt hier und da kleinere Probleme, z.B. ist das Active-Sync Timing schwer hinzubekommen. Aber es geht. Besser als mit vielen anderen UTM-Lösungen.

Doch es gibt sie, die wenigen, die erst einmal wie ein Ochs‘ vor ’m Berg stehen und nicht weiter kommen: Mac-Outlook 2011 Kunden soll’s ja hier und da noch geben. Ich gehöre nicht zu dieser Kategorie. Mangels PGP-Unterstützung und der riesigen, ständig abschmierenden, internen Datenbank ist das Ding für mich schlicht nicht nutzbar. Viel mehr ist der Entourage Nachfolger eine absolute Katastrophe, der blanke Horror und mit dem Windows-Derivat nicht zu vergleichen, obwohl es von der GUI her fast ähnelt. Und so ist Mac Outlook bei mir schlicht durch’s Raster gefallen. Böser Fehler! Und mit Verlaub, Microsoft, ich bin immer noch (wie viele andere) über die Absetzung der TMG -> stinksauer!

Auch wenn der Mac-Outlook-Client immernoch eine Katastrophe an sich ist und erst nach Entourage ansatzweise nutzbar geworden ist, manche bauen auf dieses furchtbare Ding und wollen es nicht missen – ich gehörte anfangs auch dazu. Meist sind es Switcher, die in beiden Welten zuhause sind.

Mit der Umstellung auf Sophos UTM’s Reverse Proxy gibt es tatsächlich ein Problem mit diesem Ding. Mac Outlook will nicht mehr. Bei der Benutzung des Clients kommt umgehend die Frage nach Benutzernamen und Kennwort. Eine Eingabe ist zwecklos. Viele Admins gehen anschließend hin und deaktivieren die Reverse-Regel und veröffentlichen testweise per D-NAT. *rrrghs*! Mac Outlook funktioniert umgehend. Aus dem kurzen Test wird ein Dauerzustand, der sicherheitstechnisch bedenklich und ebenso unbefriedigend ist. Um so mehr für diejenigen, welche keinen Company Connect zur Verfügung haben und mit IPV4 Adressen nicht so um sich werfen können. SAN-Zertifikate sind ja auch teuer, wenn man sich nicht mehr auf amerikanische Dienste verlassen möchte – Die Bundesdruckerei lässt sich die gut bezahlen.

Die ersten wollten schon mittels Mod-Rewrite die Mac Clients rauswerfen, Sophos würde an einem Fix arbeiten, das tun sie allerdings seit 07/2013 – Ein unbefriedigender Zustand. Doch da das Problem direkt mit der Authentifizierung auftritt, ist ja eigentlich klar wo man suchen sollte. Wie kommt man also aus der Misere jetzt heraus? Die Antwort ist diese eine, unbefriedigende: Nur mit einem zweiten CAS. <-Aufgrund von Rückfragen musste ich das mal Fett schreiben.

Ein kurzer Testanruf an einem Exchange meldet:

[toggle title=“WGET Abfrage“]wget -S https://outlook.domain.tld/ews/Services.wsdl
–2014-02-27 12:22:51— https://outlook.domain.tld/ews/Services.wsdl
Connecting to outlook.domain.tld … connected.
HTTP request sent, awaiting response…
HTTP/1.1 401 Unauthorized
Date: Thu, 27 feb 2014 11:22:49 GMT
Server: Microsoft-IIS/7.5
WWW-Authenticate: Negotiate
WWW-Authenticate: NTLM
WWW-Authenticate: Basic realm=„outlook.domain.tld“
X-Powered-By: ASP.NET
Content-Length: 0
Keep-Alive: timeout=15, max=100
Connection: Keep-Alive
Content-Type: application/x-wsdl
Authorization failed.[/toggle]

*Hust. Mit Basic Auth‘ ist da primär offenbar nix. Da muss sich der Client schon anstrengen. Auch logisch: Ein Anonymer Anruf bringt nix und Sophos wäre dann tatsächlich die erste Unix Reverse-Proxy-Lösung, welche in dieser Form damit gut umgehen könnte. Ja, ganz recht, wir haben keine TMG mehr. Genau das zeigt sich in solchen, hässlichen Szenarien. Mac Entourage will offenbar NTLM als erstes abfrühstücken – und irgendwie nix anderes. Fraglich ist für mich also: Wie veröffentlichst Du jetzt am besten? Naja, man könnte ja mal den CAS-Server einfach erst mal fragen. Ein Kurzes Intermezzo mit der Powershell:

[toggle title=“Exchange Powershell“]Get-WebServicesVirtualDirectory -Identity “<<SERVERNAME>>\EWS (Default Web Site)“ | fl[/toggle]

spricht Bände. Basic Auth ist also abgeschaltet. Wie also soll sich die UTM bitteschön am Exchange per „Windows-Auth“ anmelden? Jetzt kann man sich mit den Authentifizierungsmethoden generell erstmal in Autodiscover streiten, wird jedoch EWS primär für den Zugriff von „nicht Windows-Clients“ verwendet und hier liegt SSL an, so spricht im Prinzip erst einmal nichts dagegen, die Basic-Authentifizierung erstmal in EWS bereitzustellen.

Hinweis: Das hat sicherlich auch Seiteneffekte auf OWA/OCS/Lync, sofern eingesetzt. Deswegen nur mit einem zweiten CAS. Die Konfiguration wird – sofern gewünscht – bitte nicht in der IIS-Konsole gemacht, hier ist die Powershell erneut zu konsultieren:

[toggle title=“Exchange Powershell“]Set-WebServicesVirtualDirectory -Identity „<<SERVERNAME>>\EWS (Default Web Site)“ -BasicAuthentication $true[/toggle]

Weiterhin benötigt der zweite CAS ein deaktiviertes Windows Auth:

[toggle title=“Exchange Powershell“]Set-WebServicesVirtualDirectory -Identity „<<SERVERNAME>>\EWS (Default Web Site)“ -WindowsAuthentication $false[/toggle]

Anschließend darf die Einstellung im IIS korrigiert werden.

Nach einem Neustart der Internetverwaltungsdienste mittels iisreset /noforce ging das bei mir in 2 von 3 Fällen gut. Mac Outlook 2011 läuft. Auch Mac Mail, iCal usw. können jetzt – mit deutlich weniger Last auf der Sophos UTM –  mit Exchange kommunizieren. Das Verhalten von Outlook 2011 ist hier fragwürdig. Warum wird hier bitteschön per Konfiguration nicht eine andere Authentifizierung Clientseitig angeboten (wie in Windows Versionen übrigens verfügbar aber weniger notwendig), wenn der Client das grundsätzlich unterstützt? Wir wären um eine Riesendiskussion ärmer und die Reverse-Proxyhersteller müssten keinen Fix anbieten, sofern denn überhaupt umsetzbar. Mich ärgert so etwas einfach.

Ein netter Hinweis an Euren Kunden, sofern es denn doch nicht klappt, wäre bitte die Überprüfung der Clientversion. Jede Version dieses furchtbaren Mailclients unter dieser hier:

Bildschirmfoto 2014-02-28 um 20.45.11

 

lässt sich schlicht nicht mit EWS ohne NTLM – also über eine Sophos UTM verbinden. Es ignoriert schlicht die Anwesenheit von Basic Auth, was ich per se für eine bodenlose Frechheit halte.

Verwendete Referenz: http://technet.microsoft.com/de-de/library/aa998601(v=exchg.150).aspx
Umsetzung der Hinweise auf eigene Gefahr, nur für Exchange 2010 ohne OCS/Lync.
In Funktion gesehen, in kleinen Umgebungen auf Sophos 9.109-1,  Exchange 2010 SP3 UR4, Outlook 2011 14.3.9 (131030)